[postfix-users] reject_unverified_recipient

Christopher Stolzenberg xchris89x at googlemail.com
Mo Jun 28 12:34:38 CEST 2010


Am 28. Juni 2010 08:25 schrieb Robert Schetterer <robert at schetterer.org>:

> das kommt darauf an wo die regel steht an sich sollte er schon deswegen
> ablehnen wenn dein server nicht fuer diese zustaendig ist
> ( zb weil nicht in relay_domains enthalten etc )
> wenn dein mailserver auch die mailboxen haelt reicht ein
> zb auch reject_unlisted_recipient, dann kannst du recipient verify ganz
> vergessen
>
>> Ich habe gedacht das reject_unverified_recipient wendet Postfix nur
>> auf die relay_domains an?
>
> an sich recipient verify ist ein zusaetzlicher check, meines wissens,
> wenn eine domain
> nicht in deiner zb relay_domains etc steht dann weiss dein mailserver
> ohnehin dass er nicht zustaendig ist , zusaetzlich ein verify ist
> ueberfluessig, die kombi macht keinen Sinn
>
>> Also muss ich es mit smtpd_recipient_restrictions =
>> check_recipient_access
>
> nur wenn du statisch noch zusaetzliche regeln benutzen willst
> an sich sollte sowas ausreichen
>
> smtpd_recipient_restrictions = reject_unknown_recipient_domain,
>                               reject_non_fqdn_recipient,
>                               permit_mynetworks,
>                               permit_sasl_authenticated,
> ...
> reject_unlisted_recipient,
> reject_unauth_destination

Hi Robert,

folgendes ist dann aber seltsam bzw. ich verstehe es nicht...

Wenn ich es so mache wie von dir erwähnt kriege ich immer ein relay
access denied wenn man im SMTP Dialog eine falsche Empfängeradresse
angibt.

Das soll ja auch so sein weil ich kein offenes Relay bin.

Aber das merkwürdige ist dieses hier: (Bug?)

Mal angenommen ich bin für die Domains firma.de und firma.com
zuständig. Ein Spammer versucht z.B. zu testen ob er über meinen
Server relayen kann und macht als Absender xyz at example.com und als
Emfpänger xyz at googlemail.com.

Sobald ich reject_unverified_recipient benutze baut Postfix zum
eingehenden Mailserver von googlemail.com eine Verbindung auf, stellt
fest die Mailadresse ist zustellbar und gibt dem potenziellen Spammer
trotzdem mit 7 Sekunden Verzögerung ein relay access denied.

Genau das verstehe ich nicht. Warum baut er überhaupt unnötig die
Verbindung auf?

Hat jemand von euch die Möglichkeit das mal selbst auszuprobieren?

Chris


Mehr Informationen über die Mailingliste postfix-users